Апр 12 2015

Платежные системы бьют тревогу из-за ошибки в пакете OpenSSL

RBK Money: «Система шифрования OpenSSL была уязвима в течение 2 лет, что позволяло злоумышленникам получить доступ к конфиденциальной информации (паролям)».

logo_opensslПлатежный электронный сервис RBK Money опубликовал сообщение для своих клиентов об найденной ошибке в криптографическом пакете OpenSSL, затрагивающей огромное число сайтов, серверных систем и клиентских приложений, использующих OpenSSL 1.0.1 для организации обмена данными через защищенное соединение. Компания не сообщает о конкретной проблеме в своей системе, а основывается на информации опубликованной на профессиональных ресурсах и бюллетени по безопасности CVE-2014-0160.

«7 апреля стало известно об одной из самых серьезных уязвимостей в криптографическом пакете OpenSSL. Суть проблемы заключается в возможности доступа к памяти клиентского или серверного процесса с которым установлено шифрованное соединение. Это позволяет злоумышленникам получить удаленный доступ к конфиденциальной информации из оперативной памяти активного сетевого процесса за пределами буфера. Система шифрования OpenSSL, применяемая двумя из трех серверов в Интернете, была уязвима в течение последних двух лет», говорится в релизе сервиса RBK Money.

RBK-moneyБолее того, представители ЭПС посоветовали пользователям проверить часто посещаемые сайты чтобы узнать, является ли тот или иной сайт уязвимым, сменить пароли, поинтересоваться о сохранности своих данных и следить за всеми транзакциями своей банковской карты. Кроме того, владельцем сайтов в RBK Money посоветовали установить исправленную версию OpenSSL и предупредить своих пользователей о возможной утечке паролей.

Также и платежная система IntelleсtMoney сообщила: «7 апреля было объявлено об ошибке в программном пакете OpenSSL, который обеспечивает https-соединения между сервером и пользователем. Эта ошибка давала возможность читать небольшие куски оперативной памяти сервера. Таким образом, злоумышленники могли получать доступ к конфиденциальной информации – сертификаты, приватные ключи, логины, пароли и прочее. В итоге, была выпущена новая версия OpenSSL, в которой данная ошибка уже отсутствует. Платежная система IntelleсtMoney провела соответствующие работы по устранению данной уязвимости. Компания гарантирует своим пользователям и партнерам безопасность данных».

Итак, 7 апреля вышел бюллетень по безопасности CVE-2014-0160, из которого стало известно о длительном существовании критической уязвимости в криптографическом пакете OpenSSL. Обнаружилось, что алгоритмы реализации протоколов TLS и SSL в большинстве используемых сегодня версий OpenSSL некорректно обрабатывают пакеты расширения Heartbeat (из-за чего ошибка получила название HeartBleed). Считается, что пакет шифрования OpenSSL — самый распространенный в мире. Он используется в большинстве своем на вебсерверах Apache и nginx. На данных архитектурах работает около 2/3 всех сайтов в интернете. В том числе и Microsoft, Facebook, Twitter, Яндекс, Mail.Ru, Рамблер, ВКонтакте, Dropbox, Yahoo!, Steam, сайты множества банков и платёжных систем, сайты vpn провайдеров и множества всевозможных вебсервисов по всему миру.

Уязвимость существует уже 2 года и хотя сейчас дыра уже закрыта, но если злоумышленники уже похитили ключи шифрования, то они могут использовать их точно так же, как и при прежней версии, и для обеспечения безопасности администраторам нужно получить новые сертификаты безопасности и сгенерировать новые ключи. «Кроме того, подобный метод взлома невозможно отследить и администраторам остается только гадать — стали ли они жертвой или нет», отмечает профессиональный ресурс Ruposter.

Последующая реакция сервиса RBK Money: «Наши сотрудники сделали все необходимое и убрали уязвимость, как только информация о возможной угрозе была обнародована. Кроме того, мы предупредили своих банков-партнеров и убедились, что они также устранили проблему».

 

LEAVE A COMMENT

Я согласен с Terms of Use Пожалуйста, присылайте мне ежедневные обновления новостей от Forex Magnates

Авторское право: © 2020 Forex Magnates. Все права защищены.
Все материалы, размещенные на данном сайте, защищены законом об авторском праве Соединенных Штатов Америки и не могут копироваться, распространяться, передаваться, размещаться, публиковаться или освещаться в СМИ без письменного разрешения Forex Magnates. Вы не можете видоизменять или удалять какие-либо товарные знаки, авторское право или другие уведомления с копий контента. Вся информация на данной странице может быть изменена. Использование данного сайта предполагает полное согласие с условиями нашего пользовательского соглашения. Пожалуйста, ознакомьтесь с нашим «Положением о порядке конфиденциальности» и «Заявлением об ограничении ответственности».
Маржинальная торговля иностранной валютой несет высокий уровень риска и подходит не для всех инвесторов. Высокий уровень кредитного плеча может работать как в Вашу пользу, так и наоборот. Прежде чем торговать иностранной валютой, Вы должны тщательно оценить Ваши инвестиционные цели, степень опытности и уровень приемлемого риска. Существует вероятность частичной или полной потери Ваших первоначальных инвестиций, поэтому не следует инвестировать деньги, которые Вы не можете себе позволить потерять. Вы должны четко представлять все риски, связанные с торговлей иностранной валютой, и в случае возникновения каких-либо вопросов обращаться за консультацией к независимым финансовым экспертам.
Оценки и мнения, представленные на Forex Magnates, принадлежат отдельным авторам и не обязательно отражают взгляды Forex Magnates или ее руководства. Forex Magnates не несет ответственности за точность или достоверность утверждений или заявлений, сделанных независимыми авторами: возможны ошибки и упущения.
Любые оценки, новости, исследования, цены или любая другая информация, содержащаяся на данном сайте, предоставляются Forex Magnates, её сотрудниками, партнерами или участниками, в качестве обобщающих рыночных комментариев и не являются прямыми рекомендациями инвесторам. Forex Magnates не несет ответственности за какие-либо убытки или ущерб, включая, но не ограничиваясь любой потерей прибыли, которые могут возникнуть прямо или косвенно в результате использования или доверия к данной информации.

©2020 "Forex Magnates Inc. - Home of the Forex Elite" Все права защищены. Terms, Cookies and Privacy Notice